1. A biometrikus adat fogalma
Az általános adatvédelmi rendelet (GDPR)[1] 4. cikkjének 14. pontja definiálja a biometrikus adatot „egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat”. Ha például a munkáltató ujjlenyomat-olvasó rendszerrel szeretné beléptetni munkavállalóit a munkavégzés helyére, az ujjlenyomatok kapcsán biometrikus adatot fog kezelni.
2. Mikor kezelhetőek a munkavállalók biometrikus adatai?
A biometrikus adat a személyes adatok különleges kategóriájába tartozik, ezért főszabály szerint kezelése tilos. A megfelelő, GDPR 6. cikk szerinti jogalapok fennállása mellett az adatkezeléshez az is szükséges, hogy a 9. cikk (2) bekezdésében meghatározott feltételek valamelyike is teljesüljön. A munkahelyi adatkezelésnél azonban még szűkebb körűek a lehetőségek, ugyanis az érintett hozzájárulása nem lesz alkalmazható, mert a munkáltató és munkavállaló közötti kiegyenlítetlen, hierarchikus viszony miatt az érintetti hozzájárulásnál az önkéntes jelleg hiányozni fog. [2]
A munkáltató jogos érdeke merülhet fel a biometrikus adat kezelésnek lehetséges jogalapjaként. Ebben az esetben az adatkezelőnek érdekmérlegelési tesztet kell készítenie, amely során meg kell győzödnie többek között arról, illetve bizonyítania kell, hogy a biometrikus adatok kezelése feltétlenül szükséges, helyette nincs más alternatív megoldás, amellyel a munkáltató célja megvalósítható lenne a privátszférába kevésbé beavatkozó tevékenységgel vagy kevesebb adat kezelésével, valamint azt, hogy a munkáltató jogos érdeke arányosan korlátozza az érintett munkavállalók személyes adatai védelméhez fűződő jogos érdekét. Például, ha egy magas kockázatú hely biztonságát kívánja az adatkezelő megvédeni íriszazonosítással vagy ujjlenyomat-olvasó rendszerrel, akár egy veszélyes vírusokat kutató laboratóriumét, megfelelő bizonyítással megállhat a jogos érdek, mint jogalap az adatkezeléshez. [3][4]
3. Az Mt. rendelkezései a biometrikus adatokról
A Munka Törvénykönyvének[5] 2019. évben történt módosítása óta a 11. § rendelkezik a munkavállalók biometrikus adatainak kezeléséről, amely alapján:
„11. § (1) A munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely
a) a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy
b) törvényben védett jelentős érdek
súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.
(2) Az (1) bekezdés b) pontja alkalmazásában jelentős védett érdek különösen
a) a legalább „Bizalmas!” minősítési szintű minősített adatok védelméhez,
b) a lőfegyver, lőszer, robbanóanyag őrzéséhez,
c) a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez,
d) a nukleáris anyagok őrzéséhez,
e) a Btk. szerint legalább különösen nagy vagyoni érték védelméhez
fűződő érdek.”
Az Mt. hivatkozott módosítása óta tehát még inkább csökkent a munkavállalók biometrikus adatai munkáltató általi kezelésének lehetősége.
4. Hatásvizsgálat
A GDPR 35. cikke alapján az adatkezelőnek, amennyiben az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, adatvédelmi hatásvizsgálatot kell végezni. Az adatkezelő tehát főszabály szerint maga értékeli és mérlegeli, hogy szükséges-e adatvédelmi hatásvizsgálat lefolytatása. A GDPR 35. cikk (3) bekezdése alapján azonban bizonyos esetekben kötelező adatvédelmi hatásvizsgálat végzése. Így a GDPR 35. cikk (3) b) pontja szerint kötelező az adatvédelmi hatásvizsgálat elvégzése, amennyiben különleges adatok (így pl. biometrikus adatok) nagy számban történő kezelésére kerül sor. Amennyiben az adatkezelő rendelkezik adatvédelmi tisztviselővel, az adatvédelmi hatásvizsgálat elvégzése során kötelező kikérni az adatvédelmi tisztviselő szakmai tanácsát.
Amennyiben tehát a munkáltató a munkavállalók biometrikus adatai kezelését tervezi – pl. biometrikus adatok kezelésén alapuló beléptetőrendszer működtetése érdekében – valószínűleg kötelező adatvédelmi hatásvizsgálat elvégzése annak érdekében, hogy megállapítható legyen a biometrikus adatok kezelésének az érintettek jogaira és szabadságaira gyakorolt hatása.